Experten klären beim Airlock Security Breakfast über Geschäftsmodelle und die IT-Sicherheit auf
Ab dem 14. September 2019 müssen sich die Banken der Europäischen Union, im Rahmen der neuen Richtlinie PSD2, gegenüber Drittanbietern öffnen. Die Schweizer Banken öffnen sich ohne regulatorische Vorgaben. Es entstehen Standards und Plattformen, die Fintechs den Zugang zu den Bankkonten vereinfachen sollen. Während des Airlock Security Breakfast wurde der Stand der Dinge in der Schweiz unter die Lupe genommen – und sowohl die Auswirkungen auf das Geschäftsmodell der Banken, wie auch das sichere Access Management besprochen.
Jürgen Petry, New Business Innovator der Raiffeisen Schweiz und Gründer der API-Arbeitsgruppe des Fachverbands Swiss Fintech Innovations (SFTI), gab einen Überblick der zahlreichen API-Standardisierungsinitiativen, die derzeit in der Schweiz aktiv sind:
Wichtig wird es, eine Wissensplattform über das ganze API-Biotop in der Schweiz aufzubauen, und vollwertige Testsysteme wie auch einfache Sandboxes zur Verfügung zu stellen, um Entwicklern die Möglichkeit zu geben, in diesen Sandboxes zu entwickeln und sich über die Wissensplattform zusätzliches Wissen anzueignen.
Zudem erklärte Petry, warum es einen schweizerischen API-Standard für den Zahlungsverkehr benötigt und nicht einfach die europäische nextGenPSD2-API übernommen werden kann. Dazu führte er aus, dass Schweiz-spezifische Ausprägungen des ISO20022-Nachrichtenstandardsfür den Zahlungsverkehr bestehen, die beachtet werden müssen. Zudem erläuterte er, dass die API-Initiative des SFTI nicht nur den Zahlungsverkehr, sondern darüber hinaus weitere Geschäftsfelder des Banking adressiert (Loans, Portfolio-Mgmt., u.v.m.). Abschliessend machte Jürgen Petry deutlich, dass die verschiedenen nationalen Standardisierungs-Initiativen zusammenarbeiten müssen und sich auch mit internationalen Gremien abstimmen sollen, damit eine zukunftsfähige Lösung entstehen kann.
Zudem stellte Marianne Wildi, Vorsitzende der Geschäftsleitung der Hypothekarbank Lenzburg ein Geschäftsmodell vor, das die moderne API-Economy und den Wandel ihrer Hypothekarbank vom traditionellen Geldhaus zum digitalen Finanzdienstleister erfolgreich unter einen Hut gebracht hat. Zu bedenken gab sie, dass
Technik zwar wichtig ist, aber am Schluss muss man wissen, wo man sich am Markt positioniert. Das spielt alles zusammen, Open API alleine reicht nicht. Die Bank muss wissen, über welche Unique Selling Propositions sie verfügt und auf denen ein Geschäftsmodell aufbaut.
Ihre Hypothekarbank Lenzbung hat bereits verschiedene Fintechs über APIs integriert und erreicht dank innovativer Anbieter neue Kundengruppen, die ihr Geld nun in Lenzburg hinterlegen.
Über die Auswirkungen von Open Banking auf die IT Security und das Access Management sprach Martin Zahner, Business Development Manager bei Airlock:
Banken müssen ihren Kunden eine ansprechende User Experience auf den digitalen Kanälen bieten, sonst wandern diese zu den Fintechs ab. Dafür braucht es ein nahtloses Nutzererlebnis - unter anderem eine reibungslose Authentifizierung.
Im Zuge der Öffnung der APIs entstehen auch neue Angriffspunkte. Diese müssen geschützt werden. Ein Identitätsmanagement wie das Airlock IAM, Teil des Airlock Secure Access Hub, ist in der Lage, genaue Zugriffsrichtlinien zu durchzusezten. So kann sichgestellt werden, das nur berechtigten Personen Daten und Services abrufen können.
Die OWASP Top 10 API Security Bedrohungen
APIs entwickeln sich voraussichtlich in den nächsten Jahren zur Hauptangriffsfläche von Webanwendungen. OWASP reagiert darauf mit einer neuen und spezialisierten Top-Ten-Liste für API-Security. Lesen Sie den im Heise Magazin veröffentlichten Fachartikel, um mehr über die neue OWASP Top 10 Liste, die Hintergründe und Verantwortlichkeiten zu erfahren.
Blognews direkt in Ihr Postfach
Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.